WordPressはハッキングの頻繁な標的です。 ハッカーは、テーマ、コアWordPressファイル、プラグイン、さらにはログインページを標的にしています。
これらは、ハッキングされる可能性を低くし、それでも発生した場合に簡単に回復できるようにするための手順です。
ハッカーがWordPressを攻撃する方法
phpBBフォーラムであろうとWordPressサイトであろうと、ウェブ上のすべてのサイトは常に攻撃を受けています。すべてのサイトはハッカーによって調査されています。 ハッカーが1日に数千ページをスキャンしたり、数百回ログインしようとしたりすることは珍しくありません。
そして、それはたった1人のハッカーです。 サイトは同時に複数のハッカーによる攻撃を受けています。
通常、あなたをハッキングしようとしているのは人ではありません。 ハッカーは自動化されたソフトウェアを使用してWebをクロールし、Webサイトの特定の弱点を調査します。
Webをクロールするこれらの自動化されたソフトウェアプログラムは、ボットと呼ばれます。 スクレーパーボット(コンテンツをコピーしようとするソフトウェア)と区別するために、ハッカーボットと呼びます。
ファイアウォールでWordPressサイトを保護する
ファイアウォールは、侵入者をブロックするソフトウェアプログラムです。 私の意見では、最高のWordPressファイアウォールはWordfenceと呼ばれるプラグインです。
Wordfenceが行うことは、Webサイト訪問者の行動が不正なボットの行動と一致するかどうかを確認することです。 ボットが短時間に多くのWebページを要求するなど、特定のルールに違反した場合、Wordfenceは自動的にボットをブロックします。
Wordfenceは、GoogleやBingなどの正規のボットがサイトにアクセスできるようにプログラムされています。
パブリッシャーがサイトを攻撃しているボットを確認し、場所を確認できる高度な機能があります
ボットは、たとえばアマゾンウェブサービスやブルーホストから来ている悪いボットのように、から来ています。 Wordfenceは、IPアドレス、IPアドレス範囲全体、またはボットが使用している偽のブラウザユーザーエージェントによってボットをブロックする機能を発行者に提供します。
ユーザーエージェント(UA)について
ユーザーエージェントは、ブラウザが送信する情報を識別し、Webサイトにブラウザ(Chrome、Firefox、Vivaldi)、および動作しているオペレーティングシステム(Windows 10、Mac OS X)を通知します。
たとえば、これはMac OSXコンピュータ上のSafari11ブラウザのユーザーエージェント文字列です。
Mozilla / 5.0(Macintosh; Intel Mac OS X 10_11_6)AppleWebKit / 605.1.15(KHTML、Geckoなど)バージョン/11.1.2 Safari / 605.1.15
ボットは、Webサイトをだまして侵入するために、さまざまなユーザーエージェントを使用します。たとえば、一部のボットは、WindowsXPのブラウザのふりをします。
WinXPの実際のユーザー数は近いです
ゼロにするには、Wordfenceを使用してルールを作成し、オペレーティングシステムとしてWindows XPを使用するすべてのユーザーエージェントをブロックできます。その1つのルールを使用すると、出身国やIPアドレスに関係なく、何千もの不正なボットをブロックできます。
悪意のあるボットは、別のユーザーエージェントに変更することで応答することがあるため、これらのルールを組み合わせることで、パブリッシャーはさまざまな悪意のあるハッカーボットをブロックする可能性があります。
そして、それはWordfenceの無料バージョンです。
有料版は国全体をブロックできます。したがって、特定の国からの正当なサイト訪問者がいない場合は、それらの国からのすべての訪問者をブロックできます。
エクスプロイトに対するWordPressの防御
さらに、有料版のWordfenceは、プラグインが修正される前に、多くの侵害されたテーマやプラグインから事前に保護します。
Wordfenceの研究者は、エクスプロイトに気付いたら、プレミアムバージョンのファイアウォールを更新して、サブスクライバーにこれらのエクスプロイトからの保護を提供します。場合によっては、侵害されたテーマまたはプラグイン開発者がエクスプロイトを修正する数週間前になります。
ウェブサイトのセキュリティ強化
追加の保護レイヤーを提供するもう1つの無料プラグインは、SucuriSecurityと呼ばれます。 Sucuri(GoDaddyが所有)は、WordPressのセキュリティを強化して、悪意のあるボットが特定の種類の攻撃を利用するのをブロックするのに役立ちます。 また、すべてのファイルをチェックして、ファイルが変更されているかどうかを確認するマルウェアスキャン機能もあります。
Sucuriは、誰かがサイトにログインするたびにアラートを出し、ハッカーがログインしているかどうかをパブリッシャーが識別できるようにします。Sucuriは、ファイルが変更された場合にパブリッシャーにアラートを出すこともできます。これはハッカーが行うことです。
Sucuriの無料バージョンの機能は次のとおりです。
- セキュリティ活動監査
- ファイル整合性監視
- リモートマルウェアスキャン
- ブラックリストモニタリング
- 効果的なセキュリティ強化
- ハッキング後のセキュリティ対策
- セキュリティ通知
Sucuriの有料版には、Webサイトファイアウォールが含まれています。
サイトへのログインを制限する
WordFenceは、WordPressのログインページでユーザー名とパスワードを繰り返し入力しているボットをブロックできます。
しかし、これらのログインの制限に集中したい場合は、Limit Login Attempts Reloadedというプラグインがあります。これにより、パブリッシャーは、失敗した名前とパスワードの組み合わせを設定数だけ入力するすべてのハッカーを自動的にブロックできます。
たとえば、パスワードの推測を3回試みた後、ハッカーをブロックするように設定できます。
ログインブロッカーの機能は次のとおりです。
- ログイン時の再試行回数を制限します(IPごと)。これは完全にカスタマイズ可能です。
- ログインページで残りの再試行回数やロックアウト時間をユーザーに通知します。
- オプションのロギングとオプションの電子メール通知。
- IPとユーザー名をホワイトリスト/ブラックリストに登録することができます。
- Sucuriウェブサイトファイアウォールの互換性。・XMLRPCゲートウェイ保護。
- Woocommerceログインページ保護。
- 追加のMU設定とのマルチサイト互換性。
- GDPR準拠。この機能をオンにすると、ログに記録されたすべてのIPが難読化されます(md5-ハッシュ)。
- カスタムIPオリジンサポート(Cloudflare、Sucuriなど)
Limit Login Reloadedプラグインは、パスワードを推測しようとしているハッキングボットをシャットダウンするための迅速な方法を提供します。
WordPressサイトをバックアップする
あなたのウェブサイトの毎日のバックアップを自動的に作成することが重要です。 サイトをダウンさせる壊滅的なイベントは、バックアップを使用して回復できます。
多くのバックアップソリューションがありますが、1つ
私が非常に役立つことがわかったのは、UpdraftPlus WordPress BackupPluginと呼ばれています。 UpdraftPlusは、200万人を超えるユーザーから信頼されており、評判の高い選択肢です。
バックアップを毎日メールで送信するか、Dropboxなどのクラウドストレージの場所に送信するように構成できます。
誤ってすべてのテーマレイアウトファイルをサイトから削除し、サイトの外観を完全に削除したことがあります。 しかし、UpdraftPlusバックアップを使用することで、サイトを以前の状態に正確に復元することができました。 やりやすかったし、とてもありがたかったです。
すべてのテーマとプラグインを更新する
すべてのテーマとプラグインを常に更新することが重要です。 WordPressは、すべてのプラグインを自動的に更新する方法を提供します。これは、ログインせずに頻繁に更新を行うパブリッシャーや企業にとって便利です。
自動更新機能を有効にすることで、発行者は最新のソフトウェアを使用できるようになります。 古いプラグインがあることは、ハッキングの主な原因の1つです。
自動更新機能を有効にしない理由はありますが、ネガティブはめったに発生しない傾向があります。 たとえば、更新されたプラグインは他のプラグインと互換性がない可能性があります。
ただし、頻繁に変更されないサイトの場合は、自動更新機能を有効にすることをお勧めします。
放棄されたプラグインに注意してください
放棄されたプラグインに関する最後の警告。 一部のプラグインは、開発者によって放棄された後も何年も機能し続けることができます。 発生する可能性があるのは、これらの古いプラグインに脆弱性が含まれている可能性があることです。 しかし、それらは放棄されているため、修正されることはありません。
もう1つの問題は、ハッカーが古いプラグインを購入してマルウェアやウイルスで更新することがあることです。
すべてのWordPressプラグインをチェックして、それらが放棄されておらず、かなり頻繁に更新されているように見えることを確認します。
WordPressサイトをハッカーから保護する
多くのサイトでは、これらの小さな手順を実行してWebサイトを保護するだけで、サイトがハッキングされるのを防ぐことができます。 これらのプラグインの無料バージョンは並外れた量の保護を提供し、プレミアムバージョンはさらに強力な保護を提供します。
多くのセキュリティタイプのプラグインがあり、それらのいくつかは実際に脆弱性を含んでいます。 私の意見では、WordfenceとSucuriがWordPressのセキュリティのトップチョイスです。